Konfigurera Azure Active Directory B2C med Bluink eID-Me för identitetsverifiering

Innan du börjar

Azure Active Directory B2C (Azure AD B2C) har två metoder för att definiera användarnas interaktion med program: fördefinierade användarflöden eller konfigurerbara anpassade principer. Anpassade principer hanterar komplexa scenarier. I de flesta fall rekommenderar vi användarflöden. Se Översikt över användarflöden och anpassade principer

Integrera Azure AD B2C-autentisering med eID-Me

Lär dig att integrera Azure AD B2C-autentisering med Bluink eID-Me, en identitetsverifiering och decentraliserad digital identitetslösning för kanadensiska medborgare. Med eID-Me verifierar Azure AD B2C-klientorganisationer användaridentiteten, hämtar verifierade registrerings- och inloggningsidentitetsanspråk. Integrering stöder multifaktorautentisering och lösenordsfri inloggning med en säker digital identitet. Organisationer kan uppfylla kraven på IAL (IDENTITY Assurance Level) 2 och Know Your Customer (KYC).

Mer information finns i bluink.ca: Bluink Ltd

Förutsättningar

Du behöver följande för att komma igång:

• Ett förlitande part-konto med eID-Me
  • Gå till bluink.ca om du vill veta mer och begära en demo
• En Azure-prenumeration
  • Om du inte har ett konto kan du skaffa ett kostnadsfritt Azure-konto
• En Azure AD B2C-klientorganisation som är länkad till Azure-prenumerationen
  • Se Självstudie: Skapa en Azure AD B2C-klientorganisation
• En utvärderings- eller produktionsversion av eID-Me Digital ID-appen
  • Gå till bluink.ca för att ladda ned eID-Me Digital ID-appen

Se även Självstudie: Skapa användarflöden och anpassade principer i Azure AD B2C.

Scenariobeskrivning

eID-Me integreras med Azure AD B2C som en OpenID Connect-identitetsprovider (OIDC). Följande komponenter består av eID-Me-lösningen med Azure AD B2C:

• Azure AD B2C-klientorganisation – konfigurerad som förlitande part i eID-Me gör att eID-Me kan lita på en Azure AD B2C-klient för registrering och inloggning
• Azure AD B2C-klientprogram – antagandet är att klientorganisationer behöver ett Azure AD B2C-klientprogram
  • Programmet tar emot identitetsanspråk som tagits emot av Azure AD B2C under transaktionen
• eID-Me smartphone-appar – Azure AD B2C-klientanvändare behöver appen för iOS eller Android
• Utfärdade digitala eID-Me-identiteter – från eID-Me-identitetsbevisning
  • Användare får en digital identitet till den digitala plånboken i appen. Giltiga identitetsdokument krävs.

eID-Me-apparna autentiserar användare under transaktioner. X509-autentiseringen för offentlig nyckel ger lösenordslös MFA med hjälp av en privat signeringsnyckel i den digitala identiteten eID-Me.

Följande diagram illustrerar identitetsbevisning för eID-Me, som sker utanför Azure AD B2C-flöden.

1. Användaren laddar upp en selfie till eID-Me smartphone-programmet.
2. Användaren skannar och laddar upp ett myndighets utfärdat ID-dokument, till exempel pass eller körkort, till eID-Me smartphone-programmet.
3. eID-Me skickar data till identitetstjänsten för verifiering.
4. Användaren får en digital identitet som sparas i programmet.

Följande diagram illustrerar Azure AD B2C-integrering med eID-Me.

1. Användaren öppnar inloggningssidan Azure AD B2C och loggar in eller registrerar sig med ett användarnamn.
2. Användaren vidarebefordras till Azure AD B2C-inloggnings- och registreringsprincip.
3. Azure AD B2C omdirigerar användaren till eID-Me-identitetsroutern med hjälp av OIDC-auktoriseringskodflödet.
4. Routern skickar push-meddelanden till användarens mobilapp med information om autentisering och auktoriseringsbegäran.
5. Användarautentiseringsutmaningen visas och sedan visas en uppmaning om identitetsanspråk.
6. Utmaningssvaret går till routern.
7. Routern svarar på Azure AD B2C med ett autentiseringsresultat.
8. Azure AD svar på B2C-ID-token går till programmet.
9. Användaren beviljas eller nekas åtkomst.

Kom igång med eID-Me

Gå till sidan bluink.ca Kontakta oss för att begära en demo med målet att konfigurera en test- eller produktionsmiljö för att konfigurera Azure AD B2C-klienter som en förlitande part. Klientorganisationer fastställer identitetsanspråk som behövs från konsumenter som registrerar sig med eID-Me.

Konfigurera ett program i eID-Me

Om du vill konfigurera klientprogrammet som en eID-ME-förlitande part i eID-Me anger du följande information:

Egenskap	Beskrivning
Name	Azure AD B2C eller ett annat programnamn
Domain	name.onmicrosoft.com
Omdirigerings-URI:er	https://jwt.ms
Omdirigerings-URL:er	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Till exempel: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp För en anpassad domän anger du https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Webbadress till programmets startsida	Visas för slutanvändaren
URL för programsekretessprincip	Visas för slutanvändaren

Anteckning

När den förlitande parten har konfigurerats tillhandahåller ID-Me ett klient-ID och en klienthemlighet. Observera klient-ID och klienthemlighet för att konfigurera identitetsprovidern (IdP) i Azure AD B2C.

Lägga till en ny identitetsprovider i Azure AD B2C

För följande instruktioner använder du katalogen med Azure AD B2C-klientorganisation.

1. Logga in på Azure Portal som global administratör för Azure AD B2C-klientorganisationen.
2. På den översta menyn väljer du Katalog + prenumeration.
3. Välj katalogen med klientorganisationen.
4. I det övre vänstra hörnet i Azure Portal väljer du Alla tjänster.
5. Sök efter och välj Azure AD B2C.
6. Gå till Instrumentpanel>för Azure Active Directory B2C-identitetsprovidrar>.
7. Välj Ny OpenID Connect-provider.
8. Välj Lägg till.

Konfigurera en identitetsprovider

Så här konfigurerar du en identitetsprovider:

1. Välj Identitetsprovidertyp>OpenID Connect.
2. I identitetsproviderformuläret för Namn anger du eID-Me Passwordless eller ett annat namn.
3. För Klient-ID anger du klient-ID från eID-Me.
4. För Klienthemlighet anger du Klienthemlighet från eID-Me.
5. För Omfång väljer du openid-e-postprofil.
6. Som Svarstyp väljer du kod.
7. För Svarsläge väljer du formulärinlägg.
8. Välj OK.
9. Välj Mappa den här identitetsproviderns anspråk.
10. För Användar-ID använder du sub.
11. För Visningsnamn använder du namn.
12. För Förnamn använder du given_name.
13. Använd family_name som efternamn.
14. Använd e-postför Email.
15. Välj Spara.

Konfigurera multifaktorautentisering

eID-Me är en multifaktorautentiserare, och därför behövs inte konfiguration av multifaktorautentisering med användarflöde.

Skapa en princip för användarflöde

För följande instruktioner visas eID-Me som en ny OIDC-identitetsprovider i B2C-identitetsprovidrar.

1. I Azure AD B2C-klient, under Principer, väljer du Användarflöden.
2. Välj Nytt användarflöde.
3. Välj Registrera dig och logga in>Version>Skapa.
4. Ange ett principnamn.
5. I Identitetsprovidrar väljer du den skapade eID-Me-identitetsprovidern.
6. För Lokala konton väljer du Ingen. Valet inaktiverar autentisering av e-post och lösenord.
7. Välj Kör användarflöde.
8. Ange en svars-URL, till exempel https://jwt.ms.
9. Webbläsaren omdirigeras till inloggningssidan eID-Me.
10. Ange kontonamnet från användarregistreringen.
11. Användaren får ett push-meddelande på den mobila enheten med eID-Me.
12. En autentiseringsuppgift visas.
13. Utmaningen accepteras och webbläsaren omdirigeras till svars-URL:en.

Anteckning

Azure Active Directory B2C (Azure AD B2C) har två metoder för att definiera användarnas interaktion med program: fördefinierade användarflöden eller konfigurerbara anpassade principer. Anpassade principer hanterar komplexa scenarier. I de flesta fall rekommenderar vi användarflöden. Se Översikt över användarflöden och anpassade principer

Skapa en principnyckel

Lagra den klienthemlighet som du registrerade i din Azure AD B2C-klientorganisation. För följande instruktioner använder du katalogen med Azure AD B2C-klientorganisation.

1. Logga in på Azure-portalen.
2. I portalverktygsfältet väljer du Kataloger + prenumerationer.
3. Leta upp din Azure AD B2C-katalog i listan Katalognamn på sidan Kataloginställningar + prenumerationer.
4. Välj Växla.
5. I det övre vänstra hörnet i Azure Portal väljer du Alla tjänster.
6. Sök efter och välj Azure AD B2C.
7. På sidan Översikt väljer du Identity Experience Framework.
8. Välj Principnycklar.
9. Välj Lägg till.
10. För Alternativ väljer du Manuell.
11. Ange ett namn för principnyckeln. Till exempel eIDMeClientSecret. Prefixet B2C_1A_ läggs till i nyckelnamnet.
12. I Hemlighet anger du den klienthemlighet som du antecknade.
13. För Nyckelanvändning väljer du Signatur.
14. Välj Skapa.

Konfigurera eID-Me som identitetsprovider

Definiera eID-Me som anspråksprovider så att användarna kan logga in med eID-Me. Azure AD B2C kommunicerar med den via en slutpunkt. Slutpunkten tillhandahåller anspråk som används av Azure AD B2C för att verifiera användarautentisering med ett digitalt ID på enheten.

Om du vill definiera eID-Me som anspråksprovider lägger du till det i elementet ClaimsProvider i principtilläggsfilen.

1. Öppna TrustFrameworkExtensions.xml.

2. Hitta elementet ClaimsProviders . Om den inte visas lägger du till den under rotelementet.

3. Lägg till en ny ClaimsProvider:

      <ClaimsProvider>
      <Domain>eID-Me</Domain>
      <DisplayName>eID-Me</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="eID-Me-OIDC">
          <!-- The text in the following DisplayName element is shown to the user on the claims provider 
   selection screen. -->
          <DisplayName>eID-Me for Sign In</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
            <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid email profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="token_endpoint_auth_method">client_secret_post</Item>
            <Item Key="client_id">eid_me_rp_client_id</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
          </CryptographicKeys>
          <InputClaims />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
            <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
            <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
   

4. För eid_me_rp_client_id anger du eID-Me-klient-ID för förlitande part.

5. Välj Spara.

Identitetsanspråk som stöds

Du kan lägga till fler identitetsanspråk som eID-Me stöder.

1. Öppna TrustFrameworksExtension.xml.
2. Hitta elementet BuildingBlocks .

Anteckning

Hitta eID-Me-identitetsanspråkslistor som stöds på OID-lagringsplatsen med OIDC-identifierare på välkänd/openid-configuration.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Lägga till en användarresa

För följande instruktioner konfigureras identitetsprovidern, men inte på några inloggningssidor. Om du inte har en anpassad användarresa kopierar du en mallanvändarresa.

1. Öppna filen från startpaketet TrustFrameworkBase.xml .
2. Leta upp och kopiera innehållet i elementet UserJourneys som innehåller ID=SignUpOrSignIn.
3. Öppna TrustFrameworkExtensions.xml.
4. Leta upp elementet UserJourneys . Om elementet inte visas lägger du till ett.
5. Klistra in innehållet i elementet UserJourney som underordnat elementet UserJourneys .
6. Byt namn på användarresans ID, till exempel ID=CustomSignUpSignIn.

Lägga till identitetsprovidern i en användarresa

Lägg till den nya identitetsprovidern i användarresan.

1. Under användarresan letar du upp orkestreringsstegelementet med Type=CombinedSignInAndSignUp, eller Type=ClaimsProviderSelection. Det är vanligtvis det första orkestreringssteget. Elementet ClaimsProviderSelections har en lista över identitetsprovidrar som användare loggar in med. Ordningen på elementen styr ordningen på de inloggningsknappar som användaren ser.
2. Lägg till xml-elementet ClaimsProviderSelection .
3. Ange värdet TargetClaimsExchangeId till ett eget namn.
4. I nästa orkestreringssteg lägger du till ett ClaimsExchange-element .
5. Ange ID :t till värdet för utbytes-ID för målanspråk.
6. Uppdatera värdet vTechnicalProfileReferenceId till det tekniska profil-ID som du skapade.

Följande XML visar sju orkestreringssteg för användarresan med identitetsprovidern:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Konfigurera principen för förlitande part

Principen för förlitande part anger användarresan Azure AD B2C körs. Du kan kontrollera anspråk som skickas till ditt program. Justera elementet OutputClaims i elementet eID-Me-OIDC-Signup TechnicalProfile. I följande exempel tar programmet emot postnummer, ort, region, IAL, stående, mellannamn och födelsedatum. Den tar emot det booleska signupConditionsSatisfied-anspråket , vilket anger om ett konto har skapats.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Ladda upp den anpassade principen

För följande instruktioner använder du katalogen med Azure AD B2C-klientorganisation.

1. Logga in på Azure-portalen.
2. I portalverktygsfältet väljer du Kataloger + prenumerationer.
3. På sidan Portalinställningar, Kataloger + prenumerationer letar du upp katalogen Azure AD B2C i listan Katalognamn.
4. Välj Växla.
5. I Azure Portal söker du efter och väljer Azure AD B2C.
6. Under Principer väljer du Identity Experience Framework.
7. Välj Överför anpassad princip.
8. Ladda upp de två principfilerna som du ändrade i följande ordning:

• Tilläggsprincipen, till exempel TrustFrameworkBase.xml
• Den förlitande partens princip, till exempel SignUp.xml

Testa den anpassade principen

1. Välj principen för förlitande part, till exempel B2C_1A_signup.
2. För Program väljer du ett webbprogram som du har registrerat.
3. Svars-URL:en är https://jwt.ms.
4. Välj Kör nu.
5. Registreringsprincipen anropar eID-Me.
6. För inloggning väljer du eID-Me.
7. Webbläsaren omdirigeras till https://jwt.ms.
8. Tokeninnehållet som returneras av Azure AD B2C visas.

Läs mer: Självstudie: Registrera en webbapp i Azure AD B2C

Nästa steg

• översikt över Azure AD B2C-anpassad princip
• Självstudie: Skapa användarflöden och anpassade principer i Azure Active Directory B2C
• En anpassad principmall och exempel på ASP.NET Core webbapp för att integrera eID-Me med Azure AD B2C
• Gå till bluink.ca för integreringsguiden för Azure AD B2C-ID-verifiering | eID-Me